近年、医療機関を狙ったサイバー攻撃の高度化を背景に、厚生労働省が策定する「医療情報システムの安全管理に関するガイドライン」では、認証強化、とりわけ二要素認証（多要素認証）の重要性が明確に示されています。第6.0版では、令和9年度時点で稼働が想定される医療情報システムに対し、二要素認証の採用、または同等の対策が求められることが示されました。

これまで二要素認証の議論は、電子カルテやリモートアクセス環境が中心でした。しかし現在、その対象は調剤システム、健診システム、給食システムなどの「部門システム」へと確実に広がっています。本特集では、部門システムを扱う医療ベンダー・SIer、そして医療機関の皆様に向けて、ガイドラインの要点と現実的な対応アプローチを整理します。

厚労省ガイドラインが求める「二要素認証」とは

厚生労働省が公表している「医療情報システムの安全管理に関するガイドライン 第6.0版（令和5年5月）」では、利用者認証にパスワードを用いる場合、令和9年度時点で稼働していることが想定される医療情報システムを、新規導入または更新する際には、二要素認証を採用するシステムの導入、またはこれに相当する対応を行うことが明記されています。

ここでいう「医療情報システム」は、電子カルテに限らず、患者情報や医療業務データを扱うすべての情報システムが対象です。つまり、部門システムも例外ではありません。

なぜ「部門システム」でも二要素認証が必要なのか

調剤、健診、給食、検査、放射線、医事会計などの部門システムは、電子カルテと連携しながら日常診療を支えています。これらのシステムは、

• 患者個人情報を直接扱う
• 共有端末での利用が多い
• 利用者の入れ替わりが激しい

といった特徴があり、ID・パスワードのみの認証では、なりすましや内部不正のリスクが高いのが実情です。

ガイドラインでは、アクセスログの記録や利用者の特定も求められており、部門システムにおいても「誰が・いつ・どの情報にアクセスしたか」を担保する仕組みが不可欠です。二要素認証は、これらを実現するための基盤的な対策と位置付けられています。

ベンダー・SIerが直面する現実的な課題

一方で、部門システムベンダーやSIerからは、次のような声が多く聞かれます。

• 既存システムに認証機能を内製で実装するのは難しい
• 医療機関ごとに異なる運用（専用端末／共有端末）に対応したい
• ガイドライン対応を求められるが、開発・保守コストは抑えたい

これらの課題に対し、「認証は専用ソリューションで外付けする」という考え方が、現実的な選択肢として注目されています。

解決策：ARCACLAVISシリーズによる多要素認証の組み込み

両備システムズが提供するARCACLAVISシリーズは、医療情報システム側を大きく改修することなく、PCログイン時に二要素認証（多要素認証）を追加できる認証ソリューションです。

ARCACLAVISの特長

• ICカード認証、顔認証など、医療現場に適した認証方式に対応
• 非インターネット環境、オンプレミス環境で利用可能
• サーバー不要のスタンドアロン版の提供が可能
• 共有ID環境でも、認証ログにより利用者特定が可能
• 電子カルテだけでなく、部門システムへの横断的な適用が可能

これにより、部門システムベンダーは自社製品に“ガイドライン対応の認証”を付加価値として組み込むことができます。

部門システムベンダーとの「セット売り」という新たな展開モデル

ARCACLAVISシリーズは、部門システムベンダーとのパートナーシップにより、出荷時点で多要素認証をバンドル提供する「セット売り」モデルにも対応可能です。

• ベンダーは、自社システムを“ガイドライン対応済み”として提案可能
• 医療機関は、個別検討の手間なくセキュリティ要件をクリア
• 営業・導入コストを抑えながら、医療市場への展開が可能

このモデルは、調剤・健診・給食など、部門特化型システムを多数展開するベンダーにとって特に親和性が高いアプローチです。

まとめ：部門システムから始める、現実的なガイドライン対応

医療情報システムの安全管理に関するガイドライン対応は、「いつかやる」ではなく、今後の更新・新規導入を見据えて計画的に進めるべき課題です。

電子カルテだけでなく、部門システムも含めた横断的な認証強化こそが、医療機関全体のセキュリティレベルを底上げします。

ARCACLAVISシリーズは、医療機関・ベンダー・SIerそれぞれの立場に寄り添いながら、無理なく、確実に二要素認証を実装するための現実解を提供します。

部門システムへのガイドライン対応や、パートナー連携による展開をご検討の際は、ぜひご相談ください。